# Szukanie podatności w systemach RFID (notatki)
https://nfc-tools.github.io/resources/standards/iso14443A/
## Podstawowe informacje
### Definicja
**RFID** (Radio Frequency Identification) - bezkontaktowy sposób autoryzacji danego obiektu wykorzystujący określone częstotliwości radiowe. Z zasady charakkteryzuje się niewielkim zasięgiem.
### Zasada działania
Wymagane dwa komponenty: karta/badge/tag z kluczem dostępu (UID) i czytnik autoryzujący.
Karta/badge/tag zawiera chip. który jest zasilany przez reader ergo nadaje sygnał zwrotny.
Czytnik odbiera sygnał z modulacją częstotliwości i przekazuje do kontrolera za pomocą protokołu Wiegand w formacie W26 lub W34.
### Podział na częstotliwości
- Low Frequency (LF):       **125/134 kHz**
- Najstarsza wersja
- Zawiera tylko UID
- Używane w badgach w pracy, systemach kontroli drzwi, chipach wszczepianych zwierzętom pod skórę
- Reader składa się z cewki
- Przykład: EM4100, ISO11784/5, ISO18000-2
- W większości w ogóle nie zabezpieczone, ale niektórzy producenci (np. NXP model HiTag2) stosują protokoły uwierzytelniające i klucze szyfrujące (stosowane np. w immobilizerach samochodowych).
- High Frequency (HF):     **13.56 MHz**
- Dużo bardziej bezpieczne
- Zawiera UID i dodatkowe sektory z kodem
- Używane w dokumentach tożsamości, kartach kredytowych
- Reader to antena mikropaskowa
- Przykład: Mifare Classic, ISO15693, ISO14443, ISO1800-3, NFC
- Firma NXP posiada 85% rynku. Ich moduły wykorzystywane są np. w Iphonach
- Ultra High Frequency (UHF):  **860-960 MHz**
- Daleki zasięg
- Reader to antena mikropaskowa
- Używane do identyfikowania obiektów i uwierzytelniania transakcji
- Częstotliwość różni się w zależności od regionu (w Europie 865-868 MHz)
Dodatkowo w paśmie powyżej 13.56MHz występują urządzenia semipasywne, posiadające zintegrowany układ energii.+
### Informacje przechowywane w tagach
- **ID obiektu** (we wszystkich tagach) w zależności od standardu, norma ISO definiuje w tym polu identyfikator AFI (ang. Application Family Identifier, czyli identyfikator rodzaju sprzętu) lub DSFID (ang. Data Storage Format Identifier, czyli identyfikator formatu/struktury danych). Może być to też kod kreskowy, cena lub dowolna nieustandaryzowana wartość.
- **Informacje dodatkowe** nt. obiektu (we wszystkich tagach), przykładowe zestandaryzowane pola to AI (ang. Application Identifier), MH-10 DI (ang. Data Identifier), ATA TEI (ang. Text Element Identifier)
- **Dane kontrolne** do wewnętrzej konfiguracji (w HF i UHF)
- **Dane producenta**, typu UID (w HF i UHF)
### Typy tagów/czytników
#### LF
| Typ | PM3 | Opis | Zastosowanie |
| --------------- | --------- | --------------------------- | ------------ |
| EM4100/EM4200 | em | RFID read-only, UID 128b | Kontrola dostępu, logistyka, tagi przeciw podrabianiu produktów |
| EM4450/EM4550 | em | RFID read-write, 1Kb EEPROM, zabezpieczenie hasłem | Kontrola dostępu, bilety, urządzenia prepayment |
| TK4100 | | RFID read-only, UID 128b | Kontrola dostępu, logistyka, tagi przeciw podrabianiu produktów |
| ATA5577/T5577 | t55xx | RFID read-write, 363b EEPROM | Kontrola dostępu, karty hotelowe, logistyka, gaming |
| Hitag 1 | hitag | RFID read-write, 2kb EEPROM, brak zabezpieczeń | Logistyka, śledzenie zasobów, industrial ID |
| Hitag 2 | hitag | RFID read-write, chronione 256b EEPROM, możliwość multi-tag, tryb password (transmisja jawnym tekstem) i crypto (transmisja zaszyfrowana) | Logistyka, śledzenie zasobów, gry w kasynie, automatyzacja insustrialna |
| Hitag S | hitag | RFID read-write, 256/2048b EEPROM, 32b UID, autoryzacja bazująca na 48b kluczu | Logistyka, śledzenie zasobów, ochrona znaków towarowych |
| | awid | RFID AWID | |
| | cotag | RFID COTAG | |
| | destron | RFID FDX-A Destron | |
| | fdxb | RFID FDX-B | |
| | gallagher | RFID GALLAGHER | |
| | gproxii | RFID Guardall Prox II | |
| | hid | RFID HID Prox | |
| | idteck | RFID Idteck | |
| | indala | RFID Indala | |
| | io | RFID ioProx | |
| | jablotron | RFID Jablotron | |
| | keri | RFID KERI | |
| | motorola | RFID Motorola | |
| | nedap | RFID Nedap | |
| | nexwatch | RFID NexWatch | |
| | noralsy | RFID Noralsy | |
| | pac | RFID PAC/Stanley | |
| | paradox | RFID Paradox | |
| | pcf7931 | Chip PCF7931 | |
| | presco | RFID Presco | |
| | pyramid | RFID Farpointe/Pyramid | |
| | securakey | RFID Securakey | |
| | ti | RFID TI | |
| | viking | RFID Viking | |
| | visa2000 | RFID Visa2000 | |
#### HF
| Typ | PM3 | Opis |
| ------------------- | --------- | ---------------------------------------------------------------------------------- |
| Mifare Classic | mf | RFID MIFARE, zabezpieczenie AES, DES, Triple-DES, Crypto-1 |
| Mifare Classic EV1 | mf | RFID MIFARE, zabezpieczenie AES, DES, Triple-DES, |
| MIFARE Plus | mfp | RFID MIFARE Plus, zabezpieczenie AES, DES, Triple-DES, Crypto-1 |
| MIFARE Plus EV1 | mfp | RFID MIFARE Plus, zabezpieczenie AES, DES, Triple-DES, Crypto-1 |
| MIFARE Ultralight | mfu | RFID MIFARE Ultralight, zabezpieczenie AES, DES, Triple-DES |
| MIFARE Ultralight EV1| mfu | RFID MIFARE Ultralight, zabezpieczenie AES, DES, Triple-DES |
| MIFARE Ultralight C | mfu | RFID MIFARE Ultralight, zabezpieczenie AES, DES, Triple-DES |
| MIFARE Ultralight AES| mfu | RFID MIFARE Ultralight, zabezpieczenie AES, DES, Triple-DES |
| MIFARE DESFire | mfdes | RFID MIFARE Desfire, zabezpieczenie AES, DES, Triple-DES |
| MIFARE DESFire EV1 | mfdes | RFID MIFARE Desfire, zabezpieczenie AES, DES, Triple-DES |
| MIFARE DESFire EV2 | mfdes | RFID MIFARE Desfire, zabezpieczenie AES, DES, Triple-DES |
| MIFARE DESFire EV3 | mfdes | RFID MIFARE Desfire, zabezpieczenie AES, DES, Triple-DES |
| SLE 66R01LN | 14a | ISO14443A, 576b EEPROM |
| SLE 66R01PN | 14a | ISO14443A, 1216b EEPROM |
| SRT512 | 14b | ISO14443B, 512b EEPROM |
| SRi512 | 14b | ISO14443B, 512b EEPROM z pamięcią OTP 160b i ochroną przed zapisem |
| SRi2k | 14b | ISO14443B, 2048b EEPROM z pamięcią OTP 160b i ochroną przed zapisem |
| SRi4k | 14b | ISO14443B, 4096b EEPROM z pamięcią OTP 160b i ochroną przed zapisem |
| SRiX4k | 14b | ISO14443B, 4096b EEPROM z pamięcią OTP 160b, ochroną przed zapisem i klonowaniem |
| AT88SC0808CRF | 14b | ISO14443B, 1024B EEPROM i 256B strefa konfiguracyjna (kryptopamięć) i 64b dla MAP* |
| AT88SC1616CRF | 14b | ISO14443B, 2048B EEPROM i 256B strefa konfiguracyjna (kryptopamięć) i 64b dla MAP* |
| AT88SC3216CRF | 14b | ISO14443B, 4096B EEPROM i 256B strefa konfiguracyjna (kryptopamięć) i 64b dla MAP* |
| AT88SC6416CRF | 14b | ISO14443B, 8192B EEPROM i 256B strefa konfiguracyjna (kryptopamięć) i 64b dla MAP* |
| Icode SLI | 15 | ISO15693, read-write, 1024b EEPROM zabezpieczona hasłem |
| Icode SLI-S | 15 | ISO15693, read-write, 1280b EEPROM zabezpieczona hasłem |
| Icode SLI-X | 15 | ISO15693, 896b EEPROM |
| Icode SLI-X2 | 15 | ISO15693, read-write, 2528b EEPROM zabezpieczona hasłem i 16b licznik |
| LRi1K | 15 | ISO15693, 1024b EEPROM |
| LRi2K | 15 | ISO15693, 2048b EEPROM |
| LRiS2K | 15 | ISO15693, 2048b EEPROM, zabezpieczona hasłem |
| LRiS64K | 15 | ISO15693, 65536b EEPROM, zabezpieczona hasłem |
| TI Tag-it HF-I | 15 | ISO15693, 64b UID factory-programmed i 256b EEPROM |
| TI Tag-it HF-I Plus | 15 | ISO15693, 64b UID factory-programmed i 2048b EEPROM |
| TI Tag-it HF-I Pro | 15 | ISO15693, 64b UID factory-programmed i 256b EEPROM zabezpieczona hasłem i funkcją password kill |
| SRF 55V02P | 15 | ISO15693, 2.5Kb EEPROM, tryb zwykły i zabezpieczony |
| SRF 55V10P | 15 | ISO15693, 10Kb EEPROM, tryb zwykły i zabezpieczony |
| MIM256 | legic | 256B EEPROM, protokół Legic RF |
| MIM1024 | legic | 1024B EEPROM, protokół Legic RF |
| Topaz 512 | topaz | Tag NFC Forum Typ 2 z 512B pamięci |
| NTAG203 | ntag424 | Tag NFC Forum Typ 2 tag z 168B pamięci, może zaszyfrować do 132 znaków |
| NTAG210 | ntag424 | Tag NFC Forum Typ 2 z 80B pamięci, może zaszyfrować do 41 znaków |
| NTAG213 | ntag424 | Tag NFC Forum Typ 2 z 180B pamięci, może zaszyfrować do 132 znaków |
| NTAG215 | ntag424 | Tag NFC Forum Typ 2 z 540B pamięci, może zaszyfrować do 492 znaków |
| NTAG216 | ntag424 | Tag NFC Forum Typ 2 z 924B pamięci, może zaszyfrować do 854 znaków |
| FeliCa | felica | ISO18092/FeliCa, szyfrowanie AES |
| eMRTD | emrtd | ISO14443, E-paszport (e-Machine Readable Travel Document), 32KB EEPROM |
| | cipurse | Karta Cipurse transport |
| | epa | Karta German Identification |
| | fido | Technologia uwierzytelniania FIDO i FIDO2 |
| | fudan | RFID Fudan |
| | gallagher | RFID Gallagher DESFire |
| | ksx6924 | RFID KS X 6924 (T-Money, Snapper+) |
| | jooki | RFID Jooki |
| | iclass | RFID ICLASS |
| | lto | RFID LTO Cartridge Memory |
| | seos | RFID SEOS |
| | st25ta | RFID ST25TA |
| | thinfilm | RFID Thinfilm |
| | texkom | RFID Texkom |
| | xerox | Cartridge RFID Fuji/Xerox cartridge |
| | waveshare | ePaper NFC Waveshare |
*MAP (ang. Mutual Authentication Protocol) - tag musi się najpierw uwierzytelnić dla readera, a potem reader w tagu przed wprowadzeniem zmiany [DOI:10.1109/MITP.2011.17]
AES, DES, Triple-DES - Mifare Classic, Plus, Ultralight, DESFire, SAM
Algorytm producenta Crypto-1 - Mifare Classic, Plus, SAM
#### UHF
| Typ | Opis |
| ------------- | ---------------------------------------- |
| Alien Higgs 3 | EPC Class1 Gen2 chip with 96—480bit EPC memory, 512bit user memory and 64bit UTID with memory read protection.
| Alien Higgs 4 | EPC Class1 Gen2 chip with 128bit EPC memory, 128bit user memory and 64bit UTID with memory read protection and pre-encoded with unalterable enterprise-wide serialization scheme.
| NXP UCODE 7 | EPC Class1 Gen2 chip with 128bit EPC memory and 96bit UTID.
| NXP UCODE 7m | EPC Class1 Gen2 chip with 128bit EPC memory, 32bit user memory and 96bit UTID.
| NXP UCODE I2C | EPC Class1 Gen2 chip with 160bit EPC memory, 3328bit user memory and 96bit UTID with two independent UHF interfaces and ability to link to I2C interface.
| NXP UCODE G2iM | EPC Class1 Gen2 chip with 128-448bit EPC memory, 640-320bit user memory and 96bit UTID with memory read protection and ability to segment memory into open, protected, and private modes. Also has ability to conditionally reduce read range based on activation condition defined by user.
| NXP UCODE G2iL | EPC Class1 Gen2 chip with 128bit EPC memory and 64bit UTID with memory read protection.
| NXP UCODE G2iL+ | EPC Class1 Gen2 chip with 128bit EPC memory and 64bit UTID with memory read protection and tag tamper alarm and ability to conditionally reduce read range based on activation condition defined by user.
| Impinj Monza 4D | EPC Class1 Gen2 chip with 128bit EPC memory, 32bit user memory and 96bit UTID with support for omni-directional antennas.
| Impinj Monza 4E | EPC Class1 Gen2 chip with up to 496bit EPC memory, 128bit user memory and 96bit serialized TID with support for omni-directional antennas.
| Impinj Monza 4QT | EPC Class1 Gen2 chip with 128bit EPC memory, 512bit user memory and 96bit serialized TID with support for omni-directional antennas and ability to create a separate public and private (password protected) data profile on the same chip.
| Impinj Monza 5 | EPC Class1 Gen2 chip with up to 128bit EPC memory, 32bit user memory and 48bit serialized TID.
| Impinj Monza R6 | EPC Class1 Gen2 chip with 96bit EPC memory and 48bit serialized TID.
| Impinj Monza R6-P | EPC Class1 Gen2 chip with up to 128bit EPC memory, 64bit user memory and 48bit serialized TID.
| Impinj Monza S6-C | EPC Class1 Gen2 chip with 96bit EPC memory, 32bit user memory and 48bit serialized TID with one way fail-safe counter for ticketing and metering applications.
## Proxmark3 RDV4
### Procedura klonowania
#### Konfiguracja sprzętowa (TODO)
Proxmark w zestawie posiada wiele anten. Te dzielą się w ogólności na obsługiwane częstotliwości.
Każda antena ...
W wielu przypadkach częstotliwość można rozpoznać przez ...
#### Identyfikacja chipu (TODO)
#### Klonowanie (TODO)
### Przydatne polecenia (TODO)
A
polecenie 1 - opis 1
A
polecenie 2 - opis 2
A
polecenie 3 - opis 3
## Procedura szukania podatności (TODO)
## Przydatne źródła
1. <div class="csl-entry">Štembera, P., & Novotný, M. (2011). Breaking Hitag2 with reconfigurable hardware. <i>Proceedings - 2011 14th Euromicro Conference on Digital System Design: Architectures, Methods and Tools, DSD 2011</i>, 558–563. https://doi.org/10.1109/DSD.2011.77</div>
(system do szukania klucza dla systemu Hitag2 zrealizowany na platformie Copacabana)
2. <div class="csl-entry">Hancke, G. P. (2009). <i>Security of proximity identification systems</i>. https://doi.org/10.48456/TR-752</div>
(opis ataków typu skimming i relay na tagi HF na przykładzie standardów ISO14443 i ISO15693, dodatkowo opis ataków dalekodystansowych)
3. <div class="csl-entry">Security, G. H.-J. of C., & 2011, undefined. (n.d.). Practical eavesdropping and skimming attacks on high-frequency RFID tokens. <i>Content.Iospress.Com</i>. Retrieved November 7, 2022, from https://content.iospress.com/articles/journal-of-computer-security/jcs407</div>
(opis możliwości podsłuchania komunikacji readerów z tagami HF(eavesdropping) oraz ataków typu skimming)
4. <div class="csl-entry">Langheinrich, M. (2009). A survey of RFID privacy approaches. <i>Personal and Ubiquitous Computing</i>, <i>13</i>(6), 413–421. https://doi.org/10.1007/S00779-008-0213-4</div>
(artykuł przeglądowy, opis technologii RFID i ataków)
5. <div class="csl-entry">communications, A. J.-I. journal on selected areas in, & 2006, undefined. (n.d.). RFID security and privacy: A research survey. <i>Ieeexplore.Ieee.Org</i>. Retrieved November 7, 2022, from https://ieeexplore.ieee.org/abstract/document/1589116/</div>
(artykuł przeglądowy, opis technologii RFID i ataków)
6. <div class="csl-entry">Peris-Lopez, P., Hernandez-Castro, J. C., Estevez-Tapiador, J. M., & Ribagorda, A. (2006). RFID systems: A survey on security threats and proposed solutions. <i>Lecture Notes in Computer Science (Including Subseries Lecture Notes in Artificial Intelligence and Lecture Notes in Bioinformatics)</i>, <i>4217 LNCS</i>, 159–170. https://doi.org/10.1007/11872153_14</div>
(artykuł przeglądowy, opis technologii RFID i ataków)
7. <div class="csl-entry">Beqqal, M. el, & Azizi, M. (2017). Review on security issues in RFID systems. <i>Advances in Science, Technology and Engineering Systems</i>, <i>2</i>(6), 194–202. https://doi.org/10.25046/AJ020624</div>
(artykuł przeglądowy, opis technologii RFID i ataków)
8. <div class="csl-entry">Thornton, F., & Lanthem, C. (2006). <i>RFID security</i>. https://www.google.com/books?hl=pl&lr=&id=UQYjJaSk2EcC&oi=fnd&pg=PP1&dq=rfid+security&ots=toC00-ZcP4&sig=urTO5jmZXBxCOSM47JtNWCleYb4</div>
(Kompondium wiedzy na temat RFID. Opis RFID, techniki zabezpieczeń, ataki)
Sign in with Wallet
Connect another wallet